A XAdES alrs-tpusok sszehasonltsa

Dr. Berta Istvn Zsolt

2007. februr

Bevezets

Az elektronikus alrsrl szl 2001. vi XXXV. trvny szerint az elektronikus alrs megfelel az rsba foglaltsg
kvetelmnyeinek, a minstett elektronikus alrssal hitelestett dokumentum pedig a polgri perrendtartsrl szl
trvny szerint teljes bizonyt erej magnokiratnak minsl. gy az elektronikus alrsrl szl jogszablyok a
letagadhatatlansg nven ismert mszaki fogalmat a bizonyt er nev jogi fogalomra vezetik vissza.
Brmekkora bizonyt ervel is rendelkezik egy elektronikus alrs, egy brsg - indokolt esetben - megkrdjelezheti
annak rvnyessgt. (Pldul, ha bizonythat, hogy az alrst nem az alr szemly, hanem pldul az szmtgpt
irnyt vrus hozta ltre.) A letagadhatatlansg mszaki fogalom, azt jelenti, hogy gyakorlatilag kizrhat, hogy egy adott
tanstvny alapjn elfogadhat alrst nem a tanstvnyhoz tartoz magnkulccsal hoztak ltre. Jogi rtelemben
letagadhatatlansgrl nem, hanem csak bizonyt errl beszlhetnk.
Egy elektronikus alrs kizrlag akkor rendelkezhet - jogi szempontbl - bizonyt ervel, ha "rvnyes", teht
letagadhatatlansga mszaki szempontbl bizonythat. Jelen dokumentumban klnbz alrsfajtkat tekintnk t,
amelyek elssorban abban trnek el egymstl, hogy milyen tovbbi bizonytkokat csatoltak az alrst jelent
bitfolyamhoz a ksbbi ellenrizhetsg rdekben, illetve hogyan llapthat meg az alrs ksztsnek idpontja, s
mi bizonytja, hogy az alr tanstvnya akkor mg rvnyes volt. Jogi szempontbl az itt trgyalt klnbz tpus
alrsok egyenrtkek, de a gyakorlatban elfordulhatnak olyan esetek, amikor - hosszabb-rvidebb id elteltvel -
bizonyos fajta alrsok letagadhatatlansga mszaki szempontbl megkrdjelezhet, s gy a hozz kapcsold
bizonyt er elvsz.
Szmos nemzetkzi szabvny foglalkozik az elektronikus alrs formtumval. Ezek kzl jelen dokumentumban az n.
XAdES elektronikus alrsokrl runk. Az itt lert alrsformtumok ETSI 101 903 - XML Advanced Electronic Signatures
(XAdES) nven eurpai (ETSI) szabvny szintjre emelkedtek. Haznkban e szles krben elterjedt formtumot nemcsak az
e-Szign alrs-ltrehoz program tmogatja, hanem szmos ms szoftver is, amelyek egyttmkdst a Magyar
Elektronikus Alrs Szvetsg az n. MELASZ-Ready interoperabilitsi tesztelsek keretben bizonytotta.
E dokumentumban azt mutatjuk be, hogy az egyes XAdES alrsok kzl melyik milyen problmt old meg, s mikor melyiket
clszer alkalmazni. A kvetkez XAdES alrs-tpusokat mutatjuk be:
Alap alrs (XAdES-BES avagy EPES)
Idblyeggel elltott alrs (XAdES-T)
Ellenrzsi hivatkozsokkal kiterjesztett alrs (XAdES-C) /eddig tart az n. Melasz-Ready formtum/
Ellenrzsi adatokkal kiterjesztett alrs (XAdES-X-L)
Archv alrs (XAdES-A)

Alap alrs (XAdES-BES)

Elektronikus alrs ltrehozsakor az alr egy dokumentumot hitelest. Aki rtelmezni szeretn az alrst, annak a
kvetkezkre van szksge:
az alrt dokumentumra (vagy dokumentumokra),
magra az alrsra,
az alr tanstvnyra, amely alapjn megllapthat, hogy az alr kicsoda, s ellenrizhet, hogy az alrst
valban hozta-e ltre.

Ha az alr (illetve az alr ltal hasznlt alrs-ltrehoz alkalmazs) csupn a fenti informcikat nyjtja t az alrst
ellenrz fl szmra (pldul egy e-akta formjban), akkor beszlnk alap alrsrl (XAdES-BES - basic electronic
signature).

1
 1. bra - Alap alrs (XAdES-BES)
A "Hogyan kell ellenrizni egy elektronikus alrst?" cm dokumentumban rszletesen lerjuk, hogy az alrs
ellenrzsekor pontosan milyen lpseket kell vgrehajtani. Tbbek kztt fel kell pteni a tanstvnylncot. Ez azt
jelenti, hogy meg kell vizsglni, hogy az alr tanstvnyt melyik hitelests szolgltat adta ki (illetve ezen hitelests
szolgltat tanstvnyt melyik felsbb hitelests szolgltat adta ki stb.), s vissza kell vezetni az alr tanstvnyt egy
megbzhat hitelests szolgltat megbzhat gykrtanstvnyra.
(A tanstvnylnc csatolhat - a Melasz-Ready formtum szerint ktelez is csatolni - az alap alrshoz, de nem alrt elem.
gy az alrs nem kti meg, hogy t milyen tanstvnylnc szerint kell ellenrizni; egy adott tanstvnylnc szerint
ltrehozott alrs ms tanstvnylnc szerint is elfogadhat.)
Ellenrzskor a tanstvnylnc minden elemre meg kell vizsglni, hogy az adott tanstvny az alrs pillanatban
rvnyes volt-e. Mris eljutottunk egy nagyon izgalmas problmhoz: Az alrst ellenrz fl hogyan gyzdhet meg rla,
hogy az alrs mikor kszlt? A XAdES-BES alrs tartalmazza ugyan az alrs idpontjt, de ezen idpont nem megbzhat
forrsbl szrmazik - tipikusan az alr szmtgpe szerinti idpont kerl ide. Mivel az alr brmikor tllthatja a
szmtgpben lv rt, a XAdES-BES alrsban szerepl idpont alapjn nem szabad felels dntst hozni.
Mirt fontos, hogy pontosan mikor kszlt az alrs? Elfordulhat pldul, hogy egy tolvaj ellopja az alr intelligens
krtyjt, s valahogy hozzjut a krtya PIN kdjhoz is. (Ekkor mondjuk, hogy a krtyn lv alrs-ltrehoz adat
kompromittldott.) Ekkor a tolvaj pontosan ugyanolyan alrsokat hozhatna ltre, mint az alr. Ha az alr idben
szreveszi a lopst, felhvja a tanstvnyt kibocst hitelests szolgltatt, s letiltja (visszavonja) a krtyjhoz tartoz
tanstvnyt. gy a visszavons utn kszlt alrsok rvnytelenek, ezeket senki sem fogadja el.
Ha olyan alrst ellenrznk, amelyhez a tanstvny mr nem rvnyes, akkor meg kell gyzdni rla, hogy az alrs
akkor kszlt, amikor a tanstvny mg rvnyes volt.
A XAdES-BES alrs alapjn nem lehet megllaptani, hogy az alrs mikor kszlt. Ebbl kifolylag, ha az alr
tanstvnya lejr, vagy visszavonjk, akkor a XAdES-BES alrsok rvnyessge nem bizonythat. Ezrt azt javasoljuk,
hogy az alrson a lehet leggyorsabban (amg a XAdES-BES alrs mg rvnyes, azaz amg az alrshoz hasznlt
tanstvny rvnyes) helyezzk el egy idblyeget is, hogy a fenti problma ne fordulhasson el. Egyik lehetsg, hogy ezen
idblyeget rgtn az alr hozza ltre (azaz, ne XAdES-BES, hanem XAdES-T alrst ksztsen), msik lehetsg, hogy az
idblyeget az alrst befogad fl helyezi el. Lehetleg ne csak a XAdES-BES alrst rizzk meg, mert az alr brmikor
letagadhatja az ilyen alrst, ha a tanstvnyt visszavonatja.

Idblyeggel elltott alrs (XAdES-T)

Az idblyeggel elltott elektronikus alrs (XAdES-T, electronic signature with time) magban foglal egy XAdES-BES
alrst, amelyet idblyeg vd. Az idblyeg igazolja, hogy az alrs az idblyegzs pillanatban mr ltezett, vagyis
nem ksbb kszlt, s gy pldul az alr tanstvnynak lejrta vagy visszavonsa eltt jtt ltre. Az idblyeggel
elltott alrs a legegyszerbb olyan alrs, amely biztostja a mszaki rtelemben vett letagadhatatlansgot.

2
 2. bra - Idblyeggel vdett alrs (XAdES-T)
Alrs ltrehozsakor clszer legalbb XAdES-T alrtst kszteni. Ezt kveten - amennyiben az adott dokumentum esetn
ez szksges - az alrs ksbb kiterjeszthet magasabb szint XAdES alrsokk is. Ezen kiterjesztst - a szabvny adta
lehetsgek kztt - nem felttlenl szksges az alrs pillanatban elvgezni, hanem ksbb is trtnhet.

3. bra - XAdES-tpus vltsa az e-Szign programmal

Visszavonsi informcikkal kiterjesztett alrs (XAdES-C)

A XAdES-T alrshoz tovbbi informcikat csatolhatunk, kztk olyan adatokat, amelyek a befogad szmra altmasztjk
az alrsunk rvnyessgt. A XAdES-C alrsokban elhelyezhetjk az alrsban mindazon visszavonsi informcikat (pl.
CRL-eket), amelyek igazoljk, hogy az alrshoz hasznlt tanstvny az alrs pillanatban rvnyes volt. Megtehetjk,
hogy magt a visszavonsi informcit csatoljuk az alrshoz, de az is lehet, hogy csak egy r mutat hivatkozst, URL-t
tesznk ide. Ha csak a hivatkozs kerl az alrsba, akkor kisebb alrst kapunk, de a hivatkozs csatolsa sokszor nem
elegend. A szabvnyok megengedik, hogy a hitelests szolgltat a visszavont s ksbb lejrt tanstvnyokat ne tntesse
fel a CRL-ben (azrt, hogy a CRL-ek idvel ne nvekedhessenek kezelhetetlenl nagyra), gy ha egy tanstvny mr lejrt,
utlag a CRL alapjn nem lehet megllaptani, hogy lejrat eltt visszavontk-e. (Tegyk fel, hogy egy tanstvnyt egy vvel
a lejrta eltt visszavontak. A tanstvny lejrta utn kibocstott CRL-ekbl nem biztos, hogy meg lehet llaptani, hogy a
tanstvny a lejrta eltt egy httel rvnyes volt-e.) Mivel a hitelests szolgltat nem kteles a korbbi CRL-eket is
kzztenni, ezrt a hossz ideig megrztt alrsokhoz lehet rtelme azon CRL-t hozzcsatolni, amely igazolja, hogy az
alrs rvnyes. Ez megknnytheti a ksbbi ellenrzseket. (OCSP-vel trtn ellenrzskor magt az OCSP vlaszt szoks
csatolni az alrshoz. Biztonsgos, rvid lejrat OCSP tanstvny esetn ennek csak akkor van rtelme, ha az OCSP
vlaszon is idblyeget helyeznk el, s gy mr a XAdES-X-L alrshoz jutottunk.)
Olyan XAdES-C alrs lehet Melasz-Ready alrs, amely tartalmazza az alrsra vonatkoz visszavonsi listkat is. A
visszavonsi listk esetn jelentkez kivrsi id miatt gyakran nem lehet azonnal XAdES-C alrst
ltrehozni, hanem a kvetkez visszavonsi lista megjelensig az alrs egy alacsonyabb
(pl. BES vagy -T) formtumban ltezhet. A Melasz-Ready ajnls ezrt BES/EPES s -T
formtum alrst is meghatroz.
Arrl szeretne olvasni, hogy a kivrsi id hogyan kezelhet CRL-ek, illetve OCSP vlaszok
segtsgvel?

3
Idblyeggel vdett visszavonsi informcikkal kiterjesztett alrs (XAdES-X-L)

Tovbbi visszavonsi informcikat is csatolhatunk a XAdES-C alrshoz. Pldul, a XAdES-C alrs magban foglal egy
idblyeget (ugyanis tartalmazza a XAdES-T alrst). Az idblyeg ellenrzshez az idblyegzre vonatkoz
tanstvnylncot is fel kell pteni, s az egyes tanstvnyok visszavonsi llapott ellenrizni kell - az alr
tanstvnyhoz hasonl mdon. Szintn csatolhatjuk a XAdES alrshoz az idblyegre vonatkoz visszavonsi listkat is.
Attl fggen, hogy pontosan milyen informcikat csatolunk, klnbz "magasabb" XAdES tpus alrsokhoz juthatunk.
A XAdES alrsban elhelyezett visszavonsi listkon a hitelests szolgltat elektronikus alrsa szerepel. Ezen alrs
rvnyessge - a vgfelhasznl ltal ltrehozott alrsok rvnyessghez hasonlan - addig bizonythat, amg a
hitelests szolgltat tanstvnya rvnyes. Ha azt szeretnnk, hogy a visszavonsi listk - s gy az alrsunk -
rvnyessge ezt kveten is igazolhat legyen, a visszavonsi informcikat is idblyeggel kell vdennk.

4. bra - Ellenrzsi adatokkal kiterjesztett alrs (XAdES-X-L)

Ha az alrshoz csatolt visszavonsi informcikat idblyeggel vdjk meg, akkor XAdES-X-L alrsrl beszlnk. Az ilyen
alrsok rvnyessge azt kveten is bizonythat, hogy a tanstvnylncban szerepl hitelests szolgltatk
tanstvnyai lejrtak.

5. bra - XAdES-X-L alrs rszletei az e-Szign programmal

Archv alrs (XAdES-A)

4
Az n. archv alrs magban foglal egy XAdES-X-L alrst, teht az alr tanstvnyt kibocst hitelests szolgltat
kzremkdse nlkl is ellenrizhet. A XAdES-A archv alrs tovbbi idblyegeket tartalmaz a XAdES-X-L-hez kpest,
amelyek a teljes XAdES-X-L alrst vdik.
Mirt van erre szksg?
A nyilvnos kulcs infrastruktra minden szerepljnek (nemcsak az alrknak, de a hitelests szolgltatknak s az
idblyegzs szolgltatknak is) van nyilvnos kulcsa s titkos kulcsa. A nyilvnos kulcsot minden szerepl hiteles mdon -
pldul tanstvny formjban - nyilvnossgra hozza, a titkos kulcsot pedig titokban tartja. A rendszer addig mkdhet
helyesen, amg e titkos kulcsot valban sikerl titokban tartani. Elfordulhat, hogy a titkos kulcs (amely az alrs-ltrehoz
adat szerept is betltheti) bizalmassga mgis megkrdjelezhet. Ilyen egyrszt akkor trtnhet, ha felttelezhet, hogy a
titkos kulcsot illetktelen szemly megszerezte. Msrszt, akkor is megkrdjelezhet egy titkos kulcs bizalmassga, ha a
tudomny s a technika fejldsvel lehetsgess vlik a titkos kulcs kiszmtsa a nyilvnos kulcs alapjn. Szerencsre, csak
nagyon ritkn kvetkezik be ekkora ttrs. A kulcsokat (s a kulcsokat hasznl kriptogrfiai algoritmusokat) gy szoktk
megvlasztani, hogy erre belthat idn bell egyltaln ne kerlhessen sor. Mgis elfordulhat, hogy bizonyos mret
kulcsok elavulnak (vagyis mr nem jelentenek biztonsgot), s ilyenkor hosszabb, nehezebben kitallhat kulcsot szoks
vlasztani, s gondoskodni kell a korbban alrt dokumentumokon lv alrsok vdelmrl.
Ha az az algoritmus s kulcsmret (pl: RSA algoritmus, 512 bit hossz kulccsal), amely segtsgvel az alr alrt, elavult,
akkor nem biztostott az alrs letagadhatatlansga. E pillanattl kezdve ugyanis - hiba tartotta az alr titokban a
magnkulcst - ms is ltrehozhatta az alrst az alr nevben. Az elavult algoritmussal ltrehozott alrs csak akkor
letagadhatatlan, ha - pldul idblyeg segtsgvel - bizonythat, hogy az alrs akkor kszlt, amikor az algoritmus
mg nem avult el.
Termszetesen az idblyeg is valamilyen kulcs s algoritmus segtsgvel kszl, s ezek is elavulhatnak. Az elavult
algoritmussal kszlt idblyeg - az elavult algoritmussal kszlt alrshoz hasonlan - nem rendelkezik bizonyt ervel. gy
egy elavult technolgival kszlt alrs letagadhatatlansgt csak egy olyan idblyeg bizonythatja, amely friss,
biztonsgos technolgival kszlt, de akkor, amikor az alrs ksztsre hasznlt technolgia mg nem volt elavult.
Elfordulhat pldul a kvetkez eset: Egy olyan XAdES-X-L alrst, amelyben az alrs s az idblyegek 512 bites RSA
algoritmussal kszltek (ez mra mr elavult technolginak minsl) 768 bites RSA algoritmussal kszlt idblyeggel vdtek
meg (mieltt az 512 bites RSA algoritmus elavult). Ezt kveten a 768 bites RSA-val kszlt idblyeggel megvdett XAdES-X-
L alrst (teht egy XAdES-A alrst) 1024 bites RSA algoritmussal kszlt archv idblyeggel vdtek meg, mieltt a 768
bites RSA algoritmus elavult volna. A 1024 bites RSA ma biztonsgosnak szmt, de az 1024 bites RSA-val kszlt idblyeggel
megvdett XAdES-A alrst clszer 2048 bites RSA-val kszlt idblyeggel is megvdeni. Ha az 1024 bites RSA elavul, akkor
a 2048 bites RSA vrhatan elg hossz ideig nyjt biztonsgot, amg az alrst 4096 bites RSA algoritmussal (vagy ms, a
2048 bites RSA-nl ersebb algoritmussal) kszlt idblyeggel is megvdik.

6. bra - Archv alrs (XAdES-A)

5
A XAdES-A alrsforumtum magban foglalja a XAdES-X-L alrst, s a teljes XAdES-X-L-t archv idblyegekkel is vdi. Az
archv idblyegek jellemzen egyre ersebb, biztonsgosabb algoritmussal kszlnek. Az egyes archv idblyegek vdik az
alrst, a hozz tartoz tanstvnylncot, idblyegeket s visszavonsi informcikat, vdik a korbbi archv
idblyegeket s vdik a korbbi archv idblyegek visszavonsi informciit (gyengesge a XAdES szabvnynak, hogy ezek
helyt nem definilja).
A XAdES-A alrs minden tanstvnyt, idblyeget s visszavonsi informcit tartalmaz, kivve a legkls archv
idblyegt. XAdES-A alrs ellenrzsekor elegend a kls archv idblyeg visszavonsi llapott ellenrizni, a tbbi
ellenrzs a XAdES-A alrs alapjn is elvgezhet
A XAdES-X-L alrssal szemben a XAdES-A nem csupn az alrs formtumt jelenti, hanem azt a folyamatot is, amely
szerint az alrst tovbbi archv idblyegekkel kell elltni. Clszer j archv idblyeget elhelyezni az alrson, ha a
legkls archv idblyeg elksztsre hasznlt technolgia vrhatan nem sokra elavul. Bizonyos rendszeressggel is
clszer jabb archv idblyeget elhelyezni a XAdES-A alrson, mert - habr az idblyegzs szolgltatk klnsen
gondosan vdik az idblyegek alrsra hasznlt kulcsaikat - elfordulhat, hogy az idblyegz kulcs illetktelen kezekbe
kerl, s ekkor az idblyegek rvnyessge csak az idblyegzs szolgltat napl fjljai alapjn bizonythat.
Akkor clszer XAdES-A archv alrst kszteni, ha egy alrt dokumentumot vrhatan nagyon sokig (akr vtizedekig)
meg kell rizni, s az alrs rvnyessgt vtizedekkel ksbb is biztostani kell. Termszetesen az is elkpzelhet, hogy
alrskor mindig XAdES-T alrst hozunk ltre, s csak akkor alaktjuk XAdES-A alrss, ha kiderl, hogy a dokumentumra
hossz tvon is szksg van. Ezt az talaktst brki elvgezheti, nincs szksg hozz az alrra.
Bizonyos esetekben ktelez archv alrst (vagy ms, hasonl technolgit) hasznlni: A 7/2005-s IHM rendelet szerint, ha
egy elektronikusan alrt dokumentumra vonatkoz megrzsi ktelezettsg meghaladja a 10 vet, akkor fel kell pteni az
rvnyessgi lncot, s tovbbi idblyegek rendszeres elhelyezsvel kell biztostani az alrs rvnyessgt. Ezen
kvetelmnyek a XAdES-A formtumnak felelnek meg. A 7/2005-s IHM rendelet szerint a megrzsre ktelezett vagy sajt
maga vgzi el ezt a feladatot (pldul archv alrs segtsgvel), vagy elektronikus archivls szolgltatst kell, hogy
ignybe vegyen.
A XAdES-A formtum gondozsa az elektronikus alrs technolgijnak folyamatos figyelst s a dokumentumokon lv
alrsok hossz tv gondozst (jra-idblyegzst) ignyli, ez nem felttlenl knny feladat. Clszer mrlegelni, hogy
mikor rdemes az elektronikus alrs rvnyessgnek hossz tv biztostsval erre felkszlt, professzionlis, a Nemzeti
Hrkzlsi Hatsg ltal is nyilvntartsba vett archivls szolgltatt megbzni.

sszegzs

A XAdES-BES alrs jogilag rendelkezik az adott (fokozott biztonsg vagy minstett) elektronikus alrshoz
fzd bizonyt ervel, de mindez elvsz, amint az alr tanstvnya lejr vagy visszavonsra kerl.
E problma megolddik, ha a XAdES-BES alrst idblyeggel ltjuk el. Ezrt clszer legalbb XAdES-T
alrsokat ltrehozni. Ha ez valamilyen okbl - pldul, mert az alrst vgz gprl nem rhet el idblyegzs
szolgltats - clszer a lehet leghamarabb kiterjeszteni XAdES-T alrsra. E kiterjeszts brki elvgezheti.
Attl fggen, hogy milyen hosszan van szksg az alrs rvnyessgnek bizonytsra, az alrs kiterjeszthet
magasabb, akr XAdES-A alrss. Ezen kiterjeszts brmikor elvgezhet, amg a korbbi tpus alrs
rvnyessge megllapthat.
Alrt dokumentumok hossz tv archivlsra XAdES-A formtumot clszer hasznlni. Az ilyen alrs alapjn
a hitelests szolgltatk kzremkdse nlkl is igazolhat az alrs rvnyessge, ilyenkor egyedl a legkls
archv idblyegre vonatkoz visszavonsi informcit kell ellenrizni.

Kapcsold dokumentumok

A CRL s az OCSP technolgik sszehasonltsa

Hogyan kell ellenrizni egy elektronikus alrst?

Mirt szksges az elektronikus archivls szolgltats?

ETSI 101 903 - XML Advanced Electronic Signatures (XAdES)

Mirt szksges az elektronikus archivls szolgltats?

Dr. Berta Istvn Zsolt

2006. november
A papr alap alrsokhoz hasonlan elektronikus alrs esetn is fennll az a problma, hogy a "rgen" kszlt alrsok
hitelessgt nem knny megbzhatan ellenrizni. Minl tbb id telik el az alrs ltrehozsa s ellenrzse kztt,
annl nehezebb feladattal llunk szemben.
Ha egy dokumentumon "alap" elektronikus alrst helyeznk el, az alrs rvnyessge csak addig bizonythat, amg az
alr tanstvnya rvnyes. Az ilyen alrs hitelessge elvsz, ha az alr tanstvnya lejr, vagy visszavonjk.
Minstett alrs ltrehozsra alkalmas tanstvnyokat a hazai szablyozs szerint legfeljebb 2 vre szabad kibocstani.
E problma kikszblse vgett az "egyszer" elektronikus alrsokon idblyeget szoks elhelyezni. Ha egy mg rvnyes
alrson idblyeget helyeznk el, akkor ezen idblyeggel vdett alrs rvnyessge addig bizonythat, amg az

6
idblyegzs szolgltat tanstvnya rvnyes. Az digitlis archivls szablyairl szl (7/2005) IHM rendelet legfeljebb
10 vig fogadja el az gy vdett dokumentumokat hitelesnek.
A kvetkez okok miatt veszhet el egy idblyeggel vdett alrs hitelessge:
Az idblyegz tanstvnya lejr. Ez tervezhet, elre szmolhatunk vele.
Az idblyegz tanstvnyt visszavonjk (mert az idblyegzsre hasznlt kulcs illetktelen kezekbe kerlt). Ez
hirtelen esemny, nem kszlhetnk fel r elre.
A tudomny s a technolgia fejldse miatt a rgi technolgival kszlt alrsok s idblyegek "feltrhetv",
hamisthatv vlnak. Ezzel ltalban elre szmolhatunk, de nha vratlan, ugrsszer fejlds is trtnik. Ez
klnsen veszlyes, mert ekkor minden, rgi technolgival kszlt idblyeg hitelessge megkrdjelezhetv
vlik.

A papr alap dokumentumokhoz hasonlan az elektronikus (s elektronikusan alrt) dokumentumokat is specilis

krlmnyek kztt, biztonsgosan kell trolni, hogy a dokumentum (s a rajta lv alrs) ne srljn meg, s a
dokumentum hitelessge hossz tvon - akr vtizedekig, st vszzadokig is - biztosthat legyen. Az elektronikus alrsrl
szl (2001. vi XXXV.) trvnyben definilt archivls szolgltats az elektronikus alrsok hossz tv rvnyessgnek
biztostsra szolgl. Az archivls szolgltat a jogszablyok szerint rendszeresen egyre ersebb technolgival j
idblyeggel ltja el a lettbe helyezett elektronikusan alrt dokumentumokat. A jogszablyok ezen fell tovbbi
kvetelmnyeket is tmasztanak az archivls szolgltatkkal szemben. Pldul, az alrsokat, alrt dokumentumokat
fizikailag biztonsgos krnyezetben kell riznik, hogy az alrsok hitelessge akkor is igazolhat legyen, ha egy hirtelen,
ugrsszer fejlds esetn a vilgon minden alrs s idblyeg hitelessge egyszerre vlna megkrdjelezhetv. Az
alrs rvnyessgnek biztostshoz ltfontossg az alrt dokumentum olvashatsgnak biztostsa is, amely szintn az
archivls szolgltat feladatkrbe tartozik.
A jogszablyok ltal definilt archivls szolgltatsnak nem rsze sem a dokumentumok strukturlt trolsa, egymssal val
sszerendelse, sem bonyolult keressi funkcik megvalstsa. Dokumentum- s tartalomkezel rendszerek
valstjk meg ezen feladatokat, amelyek - az alrsok hossz tv hitelessgnek biztostsa cljbl -
httrrendszerknt tmaszkodhatnak az archivls szolgltatra.

Hogyan kell ellenrizni egy elektronikus alrst?

Berta Istvn Zsolt

2005. jnius

Bevezets

Amikor valaki dntst hoz egy elektronikusan alrt dokumentum alapjn, eltte ellenriznie kell a dokumentumon az
alrst. Az alrs ellenrzse bonyolult folyamat, a lpsek tbbsgt szmtgp - pldul az e-Szign program
segtsgvel - is elvgezheti az ember helyett.
Az alrst ellenrz felhasznlnak nemcsak magt az alrst kell ellenriznie, hanem az alrs ellenrzsnek
keretben ellenriznie kell az alr tanstvnyt is. A tanstvny ellenrzsekor a tanstvnyra vonatkoz hitelestsi
rend szerint kell eljrnia, amelyet a tanstvnyt kibocst hitelests szolgltat bocstott ki. (E hitelestsi rend OID
azonostja megtallhat minden, az RFC 3280-nak (illetve RFC 5280-nak) megfelel tanstvny Certificate Policies
(tanstvny irnyelv) mezejben. Gyakran megtallhat itt a hitelestsi rend internetes elrhetsge is.) Ha a felhasznl
nem a hitelestsi rend szerint ellenrzi a tanstvny ellenrzst, a hitelests szolgltat ltalban kizrja minden
felelssgt a tanstvnnyal kapcsolatban. A hitelests szolgltatnak akkor llhat fent felelssge, ha a tanstvnnyal
kapcsolatban a hibt kvetett el - pldul, a tanstvny alanya krte a tanstvny visszavonst, de a hitelests
szolgltat ezt mg nem tette kzz.
A hitelests szolgltat ltalban nem magban a hitelestsi rendben, hanem a szolgltatsi szablyzatban rja le a
kvetelmnyeket, a hitelestsi rendben csak meghivatkozza ket.
Hasonl megllaptsok rvnyesek idblyegek s OCSP vlaszok ellenrzsre is, egyetlen klnbsg, hogy idblyegek
esetn nem a hitelestsi rend, hanem az idblyegzsi rend az irnyad.
Jelen dokumentum az e-Szign Hitelests Szolgltat ltal kibocstott tanstvnyok, s az azok alapjn kszlt alrsok
ellenrzsnek mdjt rja le. Ms szolgltatk tanstvnyait is hasonlan kell ellenrizni, amennyiben az
szolgltatsaik is ugyanezen jogszablyoknak, szabvnyoknak s ajnlsoknak felelnek meg. Az itt lert lpsek a hatlyos
jogszablyokbl, a nemzetkzi szabvnyokbl s ajnlsokbl, valamint az ltalunk nyjtott szolgltatsok halmazbl
egyenesen levezethetek, hozzjuk kpest semmilyen tovbbi kvetelmnyt nem tartalmaznak. E lpsek a jogszablyokban,
szabvnyokban, ajnlsokban felsorolt kvetelmnyeket fejtik ki. Az itt lertak megtallhatak az e-Szign Hitelests
Szolgltat szolgltatsi szablyzatban, s ms hitelests szolgltatk esetn az szolgltatsi szablyzatukban is -
legfeljebb ms rszletessggel.

Alrs ellenrzse

Aki "sszeren kvn egy minstett elektronikus alrsra hagyatkozni", a kvetkez lpseket kell elvgeznie:
1. Ellenriznie kell, hogy az alrs valban az alr tanstvnyhoz tartozik-e.
2. Ellenriznie kell, hogy az alr tanstvnya nem jrt-e le, vagyis az alrs idpontja (amely pldul az
idblyegekbl llapthat meg) a tanstvny rvnyessgi idejn bellre esik-e. (Ha az alrson nincsen
idblyeg, akkor ezt a lpst nem lehet megbzhatan elvgezni.)
7
 3. Ellenriznie kell, hogy az alrt dokumentum nem nagyobb pnzsszegrl (vagy nagyobb pnzsszegnek megfelel
pldul eszmei vagy erklcsi rtkrl) szl-e, mint amekkora pnzgyi tranzakcis korlt (tranzakcis limit) a hozz
tartoz tanstvnyban szerepel.
4. Ellenriznie kell a tanstvny visszavonsi llapott. (Ha az alrson nincsen idblyeg, akkor elfordulhat, hogy
ezt a lpst nem lehet megbzhatan elvgezni.)) Erre a kvetkez lehetsgei vannak:
1. Online tanstvny llapot (OCSP) szolgltats: Az alrs idpillanatban lekrt OCSP vlasz mindig pontos
s helyes eredmnyt ad a tanstvny visszavonsi llapotrl. Ez a leggyorsabb s legbiztonsgosabb mdja
egy tanstvny visszavonsi llapotnak ellenrzsnek. (A ksbb lekrt OCSP vlaszok mr csak a
tanstvny ksbbi visszavonsi llapotra vonatkoznak.)
2. Az alrs idpillanatban lekrt delta CRL-en szintn mindig helyes eredmny szerepel, mert a Szolgltat
mindig j delta CRL-t bocst ki, ha egy tanstvny llapota megvltozik. A ksbb lekrt delta CRL-ekbl
mr nem biztos, hogy meg lehet llaptani az alrs idpontjban rvnyes visszavonsi llapotot.
3. A Szolgltat nem bocst ki minden esemnykor CRL-t, gy az alrs idpontjban rvnyes CRL nem
biztos, hogy a helyes visszavonsi llapotot tartalmazza. A visszavonsi llapotot a kvetkez CRL alapjn
lehet megbzhatan ellenrizni.
5. Ellenrizni kell a "Qualified e-Szigno CA" hitelest egysg tanstvnynak rvnyessgi idejt s visszavonsi
llapott. Ez utbbit csak CRL s OCSP alapjn lehet ellenrizni, amelyek kzl a fent lert okok miatt clszer az
OCSP-t vlasztani.

A fentiek kzl brmelyik ellenrzs sikertelen, az alrst nem szabad elfogadni.

A fenti ellenrzsi lpsek kzl az 1., 2., 4. s 5. pontot az e-Szign program elvgzi.
(A fenti lpsek alapjn az alrs rvnyessgre vonatkoz PKI bizonytkokat vizsgljuk meg. Megjegyezzk, hogy az
alrs elfogadshoz nem kizrlag PKI bizonytkokra lehet szksg (pl. elfordulhat, hogy az alr tvedsbl vagy
knyszer alatt rt al egy dokumentumot, vagy nem jelentette kulcsnak kompromittldst), gy egy elektronikus alrs
befogadsrl - a papr alap alrsok esethez hasonlan - clszer az sszes rendelkezsre ll informci alapjn
dnteni, s az esetleges nem PKI alap bizonytkokat is figyelembe venni.)

OCSP vlasz ellenrzse

Aki OCSP vlaszra kvn hagyatkozni, a kvetkezket kell tennie: Tanstvny-llapot vlasz (OCSP vlasz) ellenrzsekor
meg kell vizsglni a vlaszon lv alrs rvnyessgt, valamint azt, hogy a vlasz valban az e-Szign Hitelests
Szolgltat vlaszadjtl (e-Szign OCSP Responder) szrmazik-e. A vlaszad tanstvnyt kibocst hitelest egysg ("e-
Szigno OCSP CA") tanstvnya a www.e-szigno.hu honlaprl elrhet. Emellett ellenrizni kell azt is, hogy az OCSP
vlaszad tanstvnya az OCSP lekrdezs idpontjban rvnyes volt-e.
OCSP vlaszt kizrlag akkor szabad rvnyesnek tekinteni, ha igazolhat, hogy az OCSP vlasz kibocstsnak pillanatban a
vlaszad rvnyes tanstvnnyal rendelkezett. Ez akkor igaz, ha:
A vlaszad tanstvnya mg rvnyes.
A vlaszad tanstvnya mr nem rvnyes, de - pldul idblyeg alapjn - igazolhat, hogy az OCSP vlaszad
tanstvnya a vlasz kibocstsa pillanatban rvnyes volt.

Ha a fentiek egyike sem teljesl, az OCSP vlaszt nem szabad elfogadni.

Idblyeg ellenrzse

Aki idblyegre kvn hagyatkozni, a kvetkezket kell tennie: Idblyeg ellenrzsekor meg kell vizsglni, hogy az idblyeg
valban a leblyegzett dokumentumhoz tartozik-e, valamint azt, hogy az idblyegz egysg tanstvnya nem jrt-e le,
illetve nem vontk-e vissza. Ha az idblyegz egysg tanstvnyt azrt vontk vissza, mert az idblyegz egysghez
tartoz alrs-ltrehoz adat illetktelen kezekbe jutott (vagy a visszavons oka nem megllapthat), akkor minden, e
tanstvny alapjn kibocstott, idblyeget (visszamenleg is) rvnytelennek kell tekinteni. (Lsd: RFC 3161, 4. fejezet,
1. s 2. pont) Vits esetben az egyes idblyegek rvnyessge a Szolgltat biztonsgos naplfjljai segtsgvel
bizonythat.
Ha az idblyegz egysg tanstvnyt ms okbl vontk vissza, akkor csak a visszavonst kveten kibocstott idblyegek
rvnytelenek. (Lsd: RFC 3161, 4. fejezet, 1. s 2. pont)
Az idblyegz egysg tanstvnyt a vgfelhasznli tanstvnyokval megegyez mdon kell ellenrizni. A fentiek miatt,
minden egyes alkalommal, amikor egy rintett fl idblyegre kvn hagyatkozni, minden egyes alkalommal ellenriznie kell
az idblyegz tanstvnynak aktulis visszavonsi llapott. Idblyegekkel elltott alrs esetben ezt a legkls
idblyegre kell elvgezni. (Lsd: CWA 14171, 5.4.7.3. fejezet illetve RFC 3161, 2.2. s 4. fejezet)

Kapcsold dokumentumok

A CRL s az OCSP technolgik sszehasonltsa

Mirt fontos a rvid lejrat OCSP vlaszad tanstvny?

8
Frisstve 2008. 05. 15-n: kiegszts az idblyeggel kapcsolatban, fogalmak frisstse, hivatkozs az RFC 5280-ra.
Frisstve 2008. 11. 20-n: hivatkozs a nem PKI alap bizonytkokra.

A CRL s az OCSP technolgik sszehasonltsa

Berta Istvn Zsolt

2008. november

Bevezets

Ha egy tanstvnyhoz tartoz titkos kulcs elvsz (kompromittldik), a tanstvnyt vissza kell vonni. Pldul, ha egy
tanstvnyhoz tartoz intelligens krtyt ellopjk, a krtyabirtokos haladktalanul be kell, hogy jelentse ezt a tanstvnyt
kibocst hitelests szolgltatnak, aki visszavonja a tanstvnyt.
A hitelests szolgltat kteles a visszavonst kzztenni, hogy minden rintett fl rtesljn a visszavonsrl. Aki a
tanstvnyt ellenrzi, annak minden esetben meg kell vizsglnia, hogy a hitelests szolgltat nem tette-e mg kzz a
tanstvny visszavonst. A fentiek miatt a visszavont tanstvnyokkal tbb nem lehet visszalni.
A tanstvnyok visszavonsnak kzzttelre ma kt klnbz technolgia terjedt el. Az egyik a visszavonsi lista (CRL), a
msik pedig az online tanstvny-llapot szolgltats (OCSP). E dokumentum e kt technolgit hasonltja ssze.

Egy plda

Ttelezzk, fel, hogy az "alr" tanstvnyt "CA1" bocstotta ki, CA1 tanstvnyt pedig a "root CA".

1. bra - Plda tanstvnylnc

A tanstvnyok ellenrzsnek mdjt az RFC 5280, az alrsok ellenrzsnek mdjt a CWA 14171 rja le. Ezen
specifikcik, illetve a tanstvnyokra s elektronikus alrsokra vonatkoz egyb szabvnyok s ajnlsok szerint A
kvetkez lpseket mindenkppen el kell vgeznnk:
1. Ellenrizni kell, hogy az alr tanstvnya az alrs idpillanatban rvnyes volt-e, a dokumentumot az alr
tanstvnyban szerepl nyilvnos kulcshoz tartoz titkos kulccsal rtk-e al. Ellenrizni kell, hogy az alr
tanstvnyt valban CA1 bocstotta ki, s CA1 tanstvnyt valban a root CA bocstotta-e ki. Ha a root CA
tanstvnyt hitelesen megszereztk, e lps rvid id alatt elvgezhet.
2. Ellenrizni kell, hogy az alr tanstvnyt nem vontk-e vissza. Ehhez CA1 visszavonsi nyilvntartst kell
megnzni.
3. Ellenrizni kell, hogy CA1 tanstvnyt nem vontk-e vissza. Ehhez a root CA visszavonsi nyilvntartst kell
megnzni.

A fent hivatkozott nemzetkzi specifikcik szerint az ellenrzst - belertve a visszavonsi nyilvntartsok lekrdezst
is - a teljes tanstvnylncra el kell vgezni. A fenti listbl a 3. lps sem hagyhat el, mert - br a CA-k vigyznak az
alrkulcsaikra - mgis van r esly, hogy azok kompromittldnak; ezrt a fenti specifikcik is megkvetelik e lps
elvgzst.
(A fenti lpsek alapjn az alrs rvnyessgre vonatkoz PKI bizonytkokat vizsgljuk meg. Megjegyezzk, hogy az
alrs elfogadshoz nem kizrlag PKI bizonytkokra lehet szksg (pl. elfordulhat, hogy az alr tvedsbl vagy
knyszer alatt rt al egy dokumentumot, vagy nem jelentette kulcsnak kompromittldst), gy egy elektronikus alrs
befogadsrl - a papr alap alrsok esethez hasonlan - clszer az sszes rendelkezsre ll informci alapjn
dnteni, s az esetleges nem PKI alap bizonytkokat is figyelembe venni.)
Ha a fenti ellenrzseket elvgeztk, az sszegyjttt hiteles visszavonsi informcikbl idblyegek segtsgvel
szabvnyos (pl. az ETSI TS 101 903 (XAdES) specifikciban definilt XAdES-C vagy XAdES-A
formtum) blokk kpezhet, mellyel ksbb is igazolhatjuk, hogy a szksges ellenrzsi
lpseket elvgeztk, s sszeren hagyatkoztunk a tanstvnyra.

Kattintson ide, ha a szabvnyos, XAdES alrs formtumokrl szeretne olvasni.

9
Ha ezt nem tesszk meg, ksbb nem felttlenl tudjuk bizonytani, hogy a szksges ellenrzsi lpseket valban
elvgeztk. gy ha valaki megkrdjelezheti alrsunkat arra hivatkozva, hogy az alrs ms idpontban kszlt, vagy akkor
a krdses tanstvny mr lejrt vagy felfggesztsre esetleg visszavonsra kerlt. Ha az elektronikus alrst fontos clra
hasznljuk - klnsen ha teljes bizonyt erej magnokiratot vagy kzokiratot szeretnnk a segtsgvel ltrehozni - elemi
rdeknk, hogy az alrst ksbb ne lehessen megkrdjelezni vagy letagadni, vagyis a visszavonsi informcikat (vagy
azok hivatkozsait) hitelesen csatolnunk kell az alrshoz.

A kivrsi id jelentette problma

Ha a fenti 2. s a 3. lpst a CRL technolgia segtsgvel szeretnnk elvgezni, a kvetkez problma merl fel: A CWA
14171 szerint azt kell ellenriznnk, hogy a tanstvny az alrs idpontjban rvnyes volt-e, de az alrs pillanatban
jellemzen csak egy korbbi, az alrs idpontjt megelzen kibocstott CRL ll rendelkezsre. Ennek megfelelen - a CWA
14171 s az ETSI TS 101 933 szerint - a kvetkez CRL megjelenst kell megvrnunk, s az alrshoz a kvetkez CRL-t
kell csatolnunk.
A magyar hitelests szolgltatk vgfelhasznli tanstvnyokat kibocst hitelest egysgei 24 rnknt bocstanak ki
CRL-t (de amennyiben visszavonsi krs rkezik hozzjuk 4 rn bell soron kvli CRL-t bocstnak ki). Ez annyit jelent,
hogy az elektronikus alrs ltrehozst kveten akr 24 rt kell vrnia annak, aki ksbb igazolni szeretn, hogy valban
krltekinten jrt el az alrs elfogadsa sorn. (Az alrs rvnyessgrl mr akkor is meggyzdhetnk, ha az alrs
idpontjt kveten 4 rig nem jelent meg j CRL. Csakhogy, ekkor mg nincs a keznkben olyan bizonytk - CRL vagy
OCSP vlasz - amely alapjn ksbb igazolhatjuk, hogy valban krltekinten jrtunk el.)
Azon leghosszabb idtartamot, amit az alrs ltrehozst kveten ki kell vrnunk ahhoz, hogy az alrst elfogadhassuk,
kivrsi idnek (grace period) nevezzk. (Ezen idtartam a fenti esetben 4 ra.) Ha archv (XAdES-A) alrst szeretnnk
ltrehozni (ami clszer, ha fontos alrsrl van sz, amit ksbb is meg szeretnnk rizni), akkor ennl tovbb kell
vrnunk; meg kell vrnunk az els, az alrst idpontjt kveten kibocstott, az alrs szempontjbl relevns
visszavonsi informci megjelenst. (Ezen idtartam a fenti esetben legfeljebb 24 ra.) A gyakorlatban slyos problmt
jelenthet, ha egy gynek pusztn az alrs ellenrizhetsge miatt kell vrakoznia. Tovbbra is jelentsen tbb idbe
telhetne a dokumentum hitelestse, mint a dokumentum elksztse.)

2. bra - Plda a kivrsi id jelentette problmra

Br az esemnyvezrelt CRL-ek - amikor a hitelests szolgltat vllalja, hogy felfggeszts vagy visszavons esetn azonnal
j CRL-t bocst ki - bizonyos alkalmazsokban enyhthetik ezt a problmt, velk szemben ms, slyos problmk is
felmerlnek. Az CRL-ek formtumt ler RFC 5280 szerint nem llapthat meg a CRL alapjn, hogy a CRL esemnyvezrelt-
e, s visszavons esetn mennyi idn bell jelenik meg az j CRL, gy a CRL-t feldolgoz alkalmazsok nem tudnak
klnbsget tenni az esemnyvezrelt s a csak periodikusan megjelen CRL kztt. Az RFC 5280 szerint az alkalmazs nem
kteles megnzni, hogy van-e jabb CRL, ha az aktulis CRL mg rvnyes, gy ha a szolgltat esemnyvezrelt CRL-en
teszi kzz a tanstvny megvltozott visszavonsi llapott, a felhasznl alkalmazsa - amely az RFC 3280 szerint
helyesen mkdik - ezt valsznleg nem veszi figyelembe.
A CWA 14171 szerint az ellenrzst a teljes tanstvnylncra el kell vgezni. Ez azt jelenti, hogyha a CA1 tanstvnyt a
root CA hitelesti fell, akkor - a fenti gondolatmenetnek megfelelen - meg kell vrni a root CA kvetkez CRL-jt is, s
csak ezt kveten rendelkeznk minden olyan informcival, amely segtsgvel bizonythatjuk, hogy az alrs ellenrzse
sorn krltekinten jrtunk el. Azon CA, amely csak havonta bocst ki root CRL-t - ms kzztteli md hjn - nehezen
alkalmazhat a gyakorlatban, hiszen a r visszavezethet alrsokat nagyon nehz ellenrizni (illetve nagyon nehz ksbb
bizonytani, hogy az ellenrzst valban elvgeztk).

Tanstvny ellenrzs OCSP szolgltats segtsgvel

10
Tekintetbe vve, hogy a CRL technolgia segtsgvel nincsen lehetsg a kivrsi id elkerlsre, az gyfelek szmra
pedig - klnsen kzokiratok s teljes bizonyt erej magnokiratok ltrehozsa esetn - nem megengedhet meg sem a 24
rs, sem a 4 rs vrakozs, a Microsec Kft. - Magyarorszgon elsknt - gy dnttt, hogy OCSP szolgltats segtsgvel is
kzzteszi a tanstvnyok visszavonsi llapott.
Az OCSP az RFC 2560 specifikciban definilt online szolgltats, amelynek keretben egy tanstvny llapotra
krdezhetnk r, s azonnali, hiteles, alrt vlaszt kapunk a krdsre.
OCSP segtsgvel megoldhat, hogy friss, hiteles bizonytkra tegynk szert a tanstvny aktulis visszavonsi llapotrl.
Ehhez az szksges, hogy a hitelests szolgltat nagyon gyorsan (akr az alrs ksztsvel, illetve ellenrzsvel
sszemrhet id alatt) feldolgozza a visszavonsi krelmeket, s kzztegye a tanstvnyok megvltozott visszavonsi
llapott. Ekkor megoldhat, hogy ha az alrs pillanatt kveten rkrdeznk a tanstvny visszavonsi llapotra, akkor
azonnali, friss, hiteles, s az adott idpontra vonatkoz vlaszt kapjunk. Ekkor OCSP segtsgvel kzvetlenl az alrs
ltrehozsa utn is megbizonyosodhatunk az alrs rvnyessgrl, s akr archv (XAdES-A) alrst is kszthetnk.
Megjegyezzk, hogy az RFC 2560 szerint a fent lertaktl eltr mdon is nyjthat az OCSP szolgltats: A specifikci
megengedi, hogy a hitelests szolgltat a CRL-hez hasonl mdon elre generlt OCSP vlaszokat adjon, amelyek nem
jelentenek friss bizonytkot, s a kivrsi id problmi ugyangy felmerlnek. Ekkor az OCSP mindssze anniyban
elnysebb a CRL-nl, hogy az OCSP vlaszok jellemzen kisebbek, mint a CRL-ek.

Mikor elegend a CRL hasznlata is?

Az OCSP szolgltats a CRL-nl gyorsabb, korszerbb, rugalmasabb s - a hatkonyabb ellenrzs miatt - biztonsgosabb a
CRL technolginl. Mgis elfordulhat, hogy valakinek nincsen szksge az OCSP nyjtotta elnykre s elg neki a CRL
hasznlata is.
Elfordulhat, hogy valaki gy is elfogad egy alrst, hogy a kivrsi idt nem vrja ki, vagy esetleg nem rzi meg az
alrs rvnyessgt igazol bizonytkokat. Ez kockzatot jelenthet, e kockzat bizonyos esetekben elfogadhat
lehet.
Elfordulhat, hogy valakinek elenged megvrnia, amg az alrshoz szksges minden visszavonsi informcit
sszegyjttt, mert nem kell srgsen dntenie az alrssal kapcsolatban. (E vrakozs a vlasztott megoldstl
fggen 4 rt, 24 rt vagy akr 1 hnapot is jelenthet.)
Igaz, hogy az OCSP vlasz jellemzen kisebb, mint a CRL, de egyazon CRL egyszerre tbb tanstvny visszavonsi
llapott is lerja, mg minden tanstvnyhoz klnbz OCSP vlasz tartozik. gy elfordulhatnak olyan szlssges
esetek, amikor a CRL helytakarkosabb megoldst jelent.
Olyan alkalmazs esetn, amikor elegend ellenrizni egy tanstvny rvnyessgt, de ksbb nem szksges
bizonytani azt senkinek. Ez esetben elegend lehet az esemnyvezrelt CRL hasznlata is, feltve, hogy
megbizonyosodtunk rla, hogy a CRL valban esemnyvezrelt.

Aki valban ki szeretn hasznlni az elektronikus alrsra alapul elektronikus gyintzs nyjtotta gyorsasgot, annak
egyrtelmen OCSP szolgltatsunkat ajnljuk.

Els vltozat: 2005. jlius

Frisstve: 2008. 11. 19.

Mirt fontos a rvid lejrat OCSP vlaszad tanstvny?

Berta Istvn Zsolt - Endrdi Csilla va - Vanczk Gergely

2005. augusztus

Bevezets

Jelen dokumentum kt klnbz OCSP megolds biztonsgt veti ssze. Az egyik esetben a hitelests szolgltat OCSP
vlaszadjnak tanstvnya "rvid" (pl. 10 perces), a msik esetben hossz (pl. 1 v) lejrat. E dokumentum megmutatja,
hogy a felhasznlk tbbletkockzatot vllalnak, ha olyan hitelests szolgltattl vesznek tanstvnyt (illetve olyan
hitelests szolgltat tanstvnya alapjn alrt dokumentumot fogadnak el), amely hossz lejrat OCSP vlaszad
tanstvnyt hasznl.

Tanstvnyok visszavonsi llapotnak ellenrzse

A tanstvnyok visszavonsi llapotnak ellenrzsre tbb mdszer ltezik. Az egyik megolds a periodikusan megjelen
visszavonsi listk (CRL) letltse a tanstvny kibocstjtl.
Egy msik mdszer az on-line tanstvny llapot ellenrzs (OCSP), amikor online rkezik krds az egyes tanstvnyok
visszavonsi llapotra. E krsekre a hitelests szolgltat n. OCSP vlaszadja ad online hiteles (alrt) vlaszt. Az OCSP
vlaszad olyan tanstvnnyal rendelkezik, amellyel kizrlag OCSP vlaszokat rhat al.
Mindig szksges egy olyan kulcs (a legfelsbb szint hitelests szolgltat, az n. trust anchor), amelyet mindig
rvnyesnek s mindig megbzhatnak fogadunk el. Az ilyen kulcsok visszavonsi llapott nem lehet a nyilvnos kulcs
infrastruktra segtsgvel ellenrizni, az esetleges kompromittldst ms csatornn (pl. mdia) kell kzztenni. Ilyen trust
anchor pldul a hitelests szolgltatk root CA-jnak kulcsa.
11
AZ OCSP vlaszad tanstvnynak ellenrzse

Felmerl a krds, hogy az OCSP vlaszad tanstvnynak visszavonsi llapott milyen mdon kell ellenrizni.
Ha a hitelests szolgltat az OCSP vlaszad egysg tanstvnynak visszavonsi llapott is CRL-en teszi kzz, akkor az
OCSP f elnye vsz el, ugyanis nem lehet a teljes tanstvnylncot online mdon hitelesen ellenrizni. Ha az OCSP
vlaszad tanstvnyt is egy OCSP vlasz alapjn szeretnnk ellenrizni, akkor tovbbra is ellenriznnk kell ezen vlaszt
ad OCSP vlaszad tanstvnynak visszavonsi llapott. Ezltal knnyen rdgi krbe kerlhetnk, s az ellenrzs soha
nem rne vget.
A msik lehetsg az, hogy a felhasznlnak meg kell bznia az OCSP vlaszad tanstvnyban, amg az rvnyes (azaz nem
jrt le), s egyltaln nem kell ellenriznie a visszavonsi llapott. Ez pldul gy is megoldhat, ha be van lltva a "pkix-
ocsp-nocheck" az OCSP vlaszad tanstvnyban.
Ha az OCSP vlaszad titkos kulcsa valami miatt kompromitldik, a tmad az OCSP vlaszokat hamisthat a hitelests
szolgltat nevben. Ekkor a tmad az OCSP vlaszokat nemcsak az adott idpillanatra vonatkozan hamisthatja, hanem
visszadtumozott hamis OCSP vlaszokat is ltrehozhat. A visszadtumozott OCSP vlaszokkal csak akkor tud a tmad
rvnyesnek ltsz XAdES-A alrst ltrehozni, ha a XAdES szabvnynak megfelelen az OCSP vlaszhoz tartoz idblyeget
is tud szerezni. A XAdES-A szerint az OCSP vlaszt olyan idblyeggel kell elltni, amely az OCSP vlaszad tanstvnynak
rvnyessgn bell van.
Addig a pillanatig, amg a hitelests szolgltat tudomst nem szerez az OCSP vlaszad kulcsnak kompromittldsrl, a
rvid s a hossz ideig rvnyes OCSP tanstvnyok egyenrtkek.
A klnbsg akkor jelentkezik, ha a hitelests szolgltat tudomsra jut, hogy az OCSP vlaszad titkos kulcsa
kompromittldott:
Ha az OCSP vlaszadjnak tanstvnya mindig csak rvid ideig (5-10 percig) rvnyes, a hitelests szolgltat
azzal teszi rvnytelenn a vlaszad tanstvnyt, hogy nem bocst ki j tanstvnyt a kompromittldott
kulcshoz. Amint a legutols tanstvny lejr, a kompromittldott kulccsal hamistott OCSP vlaszok alapjn nem
lehet rvnyes XAdES-A alrst ltrehozni:
o A kompromittldott kulcshoz az adott idpillanattl nem tartozik rvnyes tanstvny, gy a tmad nem
kpes elredtumozott, vagy az adott idpillanatra vonatkoz OCSP vlaszokat hamistani.
o A kompromittldott kulccsal a tmad ltre tud hozni rvnyesnek ltsz visszadtumozott OCSP vlaszt,
de nem kpes rjuk olyan idblyeget szerezni, amelyhez az adott kulcshoz tartoz, rvnyes OCSP
vlaszad tanstvny is tartozik, mert a tmadnak visszadtumozott idblyegre volna szksge.

A hitelests szolgltat j kulcsprt generlhat az OCSP vlaszadjnak, az j kulcsprhoz j tanstvnyt

bocsthat ki. Az j tanstvny alapjn alrt OCSP vlaszokat a felhasznlk el fogjk fogadni, lehet, hogy
a felhasznlnak egyltaln nincsen teendje a kompromittldott OCSP kulccsal.
Ha az OCSP vlaszad tanstvnya hossz ideig (akr egy vagy tbb vig) rvnyes, akkor pont olyan helyzetben
van, mint egy szolgltat gykr tanstvnya (azaz egy trust anchor). A nyilvnos kulcs infrastruktra segtsgvel
nem lehet visszavonni, illetve a visszavonsi llapott nem lehet ellenrizni, gy a hitelests szolgltat csak ms
csatornn (pldul a mdin keresztl) rtestheti az rintett feleket az OCSP vlaszad kulcsnak
rvnytelensgrl. Ezltal a hitelests szolgltat kltsgeket r sajt felhasznlira, valamint sok olyan flre is,
akivel egyltaln nincsen szerzdses viszonyban.

A hitelests szolgltat nem jr el krltekinten, ha csupn a sajt gyfeleit rtesti az OCSP vlaszad titkos
kulcsnak kompromittldsrl, mert harmadik felek is - pldul XAdES-A alrsokban lv OCSP vlaszok esetn -
hozhatnak OCSP vlasz alapjn lnyeges dntseket. Az sszes rintett fl megbzhat mdon trtn rtestse
nehz feladat; ersen megkrdjelezhet, hogy minden rintett fl hozzjut-e gy a szksges informcikhoz.
Ezt kveten, ha egy felhasznl (vagy valamely ms rintett fl, aki a szolgltatval nincsen szerzdses
viszonyban) OCSP vlaszt lt, meg kell vizsglnia, hogy az nem a kompromittldott kulccsal kszlt-e. Ha az OCSP
vlasz a kompromittldott kulccsal kszlt:
o A kulcs-kompromittldst kvet dtumot tartalmaz OCSP vlaszok mindenkppen rvnytelenek.
o A hossz ideig rvnyes OCSP vlaszadi tanstvnyok miatt elfordulhat, hogy egy vlasz a
kulcskompromittlds eltt kszlt, de mg nem vdi rvnyes idblyeg. Az idblyeggel nem vdett
OCSP vlaszokat visszamenleg is mind rvnytelennek kell tekinteni. gy egyes elektronikus alrsok
rvnyessge visszamenleg is megkrdjelezhet, teht srlhet az alrsok letagadhatatlansga.

Az OCSP vlaszad kulcsa viszonylag kiszolgltatott helyzetben van, mert az OCSP krsek kvlrl rkeznek, teht az
alrand OCSP krsek tartalmt nem a hitelests szolgltat lltja ssze. gy egy tmadnak tbb lehetsge van n.
vlasztott szveg alap tmads (chosen plaintext attack) vgrehajtsra, mint pldul egy tanstvnyok (s CRL-ek)
alrsra hasznlt szolgltati tanstvny esetn. A szolgltati kulcsok kzl egyedl az OCSP s az idblyegz kulcs van
ilyen kiszolgltatott helyzetben, de ezek kzl az idblyegz kulcst knnyen vissza lehet vonni CRL illetve OCSP
segtsgvel, mg az OCSP kulcsnak visszavonsa viszont felettbb krlmnyes.
Ezrt clszer, ha az OCSP vlaszad kulcsa kellen hossz, s mindenkppen fel kell kszlni arra az esetre is, hogy mi
trtnik, ha a vlaszad kulcsa mgis kompromittldik.

sszefoglals

A fentiekbl lthat, hogy a rvid ideig rvnyes OCSP vlaszadi tanstvnyok sokkal kisebb kockzatot jelentenek a hossz
ideig rvnyes tanstvnyokkal szemben. Tekintetbe vve, hogy a rvid ideig rvnyes OCSP vlaszadi tanstvnyokra
12
pl rendszer megvalstsa nem nehz feladat, felesleges tbbletkockzatnak tartjuk olyan rendszer alkalmazst, amely
hossz ideig rvnyes OCSP vlaszadi tanstvnyokra pl.

13